Лектор докладно проаналізував разом з учасниками чи потрібен бізнесу захист персональних даних та GDPR , а саме:

• 1. Що таке персональні дані?
• 2. Законодавство про персональні дані, ЗУ про ЗПД, GDPR
• 3. Застосовність GDPR до Українських компаній
• 4. Ролі в обробці персональних даних
• 5. Основні категорії у сфері зпд (обробка, мета, підстава)
• 6. Принципи обробки
• 7. Правові підстави

У рамках характеристики захисту персональних даних та GDPR акцентовано на наступному:

1. Що таке персональні дані?

Персональні дані – це будь-яка інформація, що стосується ідентифікованої живої людини або людини, яка може бути ідентифікована за набором ідентифікаторів.

Персональні дані бувають:

• Базові: ПІБ, дата народження, місце проживання, сімейний статус, місце роботи.
• Контактні: номер телефону, адреса електронної пошти, сторінки у соціальних мережах.
• Онлайн: IP адреса, файли cookies, дані про пристрій, кліки на сайті, лайки в соціальних мережах.
• Зовнішні: зріст, вага, колір шкіри, очей, волосся.

Персональні дані юридичною – будь-яка інформація, яка стосується конкретно визначеної фізичної особи або особи, що може бути конкретно визначеною.

Псевдонімізовані дані – це персональні дані, які не можуть бути віднесені до конкретної людини без використання додаткової інформації. За умови, що додаткова інформація зберігається окремо і до неї застосовуються технічні та організаційні захисні заходи.

Не вважаються персональними:

1. Анонімні дані;
2. Дані про юридичних осіб;
3. Дані про померлих людей.

Дитячі персональні дані – дані дітей, які не досягли 16 років.

Особливі («чутливі») категорії даних – дані, обробка яких несе особливі ризики прав і свобод людини, та порядок їх обробки містить відмінності.

До «чутливих» даних відносять інформацію про:

• Расове та етнічне походження;
• Політичні, релігійні та світоглядні погляди;
• Членство у профспілках;
• Засудження до кримінального покарання;
• Дані про стан здоров’я;
• Генетичні та біометричні дані;
• Сексуальну орієнтацію.

2. Законодавство про персональні дані, ЗУ про ЗПД, GDPR

Нормативно-правові акти України:

• Конституція України;
• Закон України «Про захист персональних даних»;
• Закон України «Про інформацію»;
• Закон України «Про захист інформації в інформаційно-телекомунікаційних системах»;
• Закон України «Про доступ до публічної інформації».

Підзаконні нормативно-правові акти України:

• Типовий порядок з обробки персональних даних, затверджений Наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14;
• Роз’яснення Уповноваженого Верховної Ради України з прав людини до Типового порядку обробки персональних даних від 08.01.2014 № 1/02-14.

Міжнародні нормативно-правові акти:

• Угода про асоціацію України з ЄС;
• Загальна декларація з прав людини;
• Конвенція про захист прав людини і основоположних свобод;
• Конвенція про захист осіб у зв’язку з автоматизованою обробкою персональних даних (Конвенція 108);
• Regulation (EU) 2016/679 (General Data Protection Regulation).

3. Застосовність GDPR до Українських компаній

GDPR поширюється на українські компанії у випадках, коли:

• Відбувається транскордонна передача персональних даних (ст. 29 Закону України «Про захист персональних даних»);
• Українська компанія працює з персональними даними громадян ЄС, наприклад:

• надає послуги,
• продає товари,
• здійснює обробку персональних даних користувачів із ЄС, зокрема онлайн.

У такому разі компанія має:

1. Виконувати вимоги GDPR,
2. Призначати представника (Representative),
3. Забезпечити належний рівень захисту персональних даних та укладати Data Processing Agreement (DPA) з процесорами, які залучаються до обробки даних.

4. Ролі в обробці персональних даних:

1. Суб’єкт персональних даних – жива людина, що ідентифікована, або яка може бути ідентифікованою.

Суб’єкт найсильніша роль Регламенту тому, що:

• він/вона ділиться своїми даними;
• має ряд прав;
• може скаржитися регулятору, або подавати до суду.

2. Контролер:

• особа, що визначає мету та способи обробки даних;
• несе первинну відповідальність за обробку даних.

3. Процесор – особа, яка обробляє дані за вказівками контролера.

4. Регулятор.

5. Співконтролер – дві або більше осіб, які спільно визначають мету та способи обробки даних.

6. Субпроцесор:

Процесор отримує письмову згоду на залучення до обробки субпроцесора від контролера.

7. Третя особа.

5. Основні категорії у сфері зпд (обробка, мета, підстава)

Обробка – це будь-які дії з даними:

• збирання;
• зміна;
• розповсюдження;
• передача;
• зберігання;
• поширення;
• поновлення;
• реалізація;
• стирання;
• обмеження;
• пошук;
• адаптація;
• знищення;
• реєстрація;
• організація;
• накопичення;
• розкриття;
• структурування;
• упорядкування;
• знеособлення;
• ознайомлення;
• комбінування;
• використання.

Мета:

1. Визначається володільцем (контролером);
2. Повинна бути чіткою і законною;
3. Повинна бути визначена до початку збору персональних даних;
4. Не може бути змінена без відповідної правової підстави.

6. Принципи обробки;

1) Відкритість і прозорість:

Обробка здійснюється відкрито та прозоро із застосуванням засобів і у спосіб, що відповідають визначеним цілям такої обробки.

У разі зміни мети обробки володілець персональних даних повинен отримати згоду суб’єкта, якщо інше не передбачено законом.

2) Точність та достовірність:

Персональні дані мають бути точними, достовірними та оновлюватися в міру потреби, визначеної метою їх обробки.

3) Відповідність та ненадмірність:

Склад і зміст персональних даних повинні бути адекватними та ненадмірними стосовно визначеної мети обробки.

4) Конкретність і законність мети:

Обробка здійснюється для конкретних і законних цілей.

5. Обмеження строку зберігання:

Персональні дані обробляються у формі, що дозволяє ідентифікацію фізичної особи не довше, ніж це необхідно для законних цілей, у яких вони збиралися або надалі оброблялися.

6. Заборона обробки чутливих даних:

Забороняється обробка даних про:

• расове чи етнічне походження,
• політичні, релігійні та світоглядні переконання,
• членство в партіях та профспілках,
• засудження до кримінального покарання,
• стан здоров’я,
• статеве життя,
• біометричні та генетичні дані.

7. Винятки допускаються лише у випадках, передбачених ч.2 ст.7 Закону України «Про захист персональних даних».

Принципи GDPR:

• Awfulness, fairness and transparency (законність, справедливість і прозорість);
• Purpose limitation (обмеження мети);
• Data minimization (мінімізація даних);
• Accuracy (точність);
• Storage limitation (обмеження строку зберігання);
• Integrity and confidentiality (цілісність і конфіденційність);
• Accountability (підзвітність).

7. Правові підстави

Відповідно до статті 11 Закону України «Про захист персональних даних»:

1. Згода суб’єкта персональних даних на обробку його персональних даних (п.1 ч.1 ст.11).
2. Дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень (п.2 ч.1 ст.11).
3. Укладення та виконання правочину, стороною якого є суб’єкт персональних даних, або правочину, укладеного на користь суб’єкта персональних даних, чи для здійснення заходів, що передують його укладенню на вимогу суб’єкта персональних даних (п.3 ч.1 ст.11).
4. Захист життєво важливих інтересів суб’єкта персональних даних (п.4 ч.1 ст.11).
5. Необхідність виконання обов’язку володільця персональних даних, який передбачений законом (п.5 ч.1 ст.11).
6. Необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси (п.6 ч.1 ст.11)

Згода суб’єкта персональних даних – є найменш надійною з правових підстав для Володільця персональних даних, адже має відповідати критеріям добровільності та може бути відкликана суб’єктом в будь-який момент.

Першоджерело - https://tinyurl.com/2znwsx3f